Datalek Protocol voor Orphyum.nl

  1. Inleiding
    Orphyum.nl heeft een datalekprotocol opgesteld om adequaat te reageren op mogelijke inbreuken op persoonsgegevens. Dit protocol waarborgt naleving van de Algemene Verordening Gegevensbescherming (AVG) en minimaliseert risico’s voor betrokkenen.

  2. Wat is een datalek?
    Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren gaan of onrechtmatig worden verwerkt. Dit omvat onder andere:
  • Onopzettelijk verlies of verwijdering van gegevens;
  • Toegang door onbevoegde personen;
  • Ongeoorloofde openbaarmaking van gegevens.
  1. Doel van dit protocol
    Het doel van dit protocol is:
  • Het snel identificeren en beoordelen van een datalek;
  • Het beperken van schade voor betrokkenen;
  • Het voldoen aan wettelijke verplichtingen, zoals melding bij de Autoriteit Persoonsgegevens.
  1. Procedure bij een vermoedelijk datalek

4.1. Detectie en melding

  • Alle medewerkers zijn verplicht een vermoeden van een datalek direct te melden bij de Functionaris Gegevensbescherming (FG) of de verantwoordelijke voor gegevensbescherming.
  • De melding moet bevatten:
    • Datum en tijdstip van ontdekking;
    • Beschrijving van het incident;
    • Betrokken systemen, gegevens en personen.

4.2. Beoordeling van het incident
De FG beoordeelt:

  • Of sprake is van een datalek volgens de AVG-definitie;
  • De ernst van het datalek, met inachtneming van:
    • De aard en omvang van de betrokken persoonsgegevens;
    • De mogelijke gevolgen voor betrokkenen.

4.3. Beperken van schade
Indien mogelijk worden direct maatregelen genomen om verdere schade te beperken, zoals:

  • Het afsluiten van getroffen systemen;
  • Het wijzigen van wachtwoorden;
  • Het informeren van betrokken medewerkers.
  1. Meldingsplicht

5.1. Meldingen aan de Autoriteit Persoonsgegevens (AP)

  • Een datalek wordt gemeld bij de AP indien sprake is van risico’s voor de rechten en vrijheden van betrokkenen.
  • De melding moet binnen 72 uur na ontdekking worden gedaan en bevat:
    • De aard van het datalek;
    • De categorieën en aantallen van betrokkenen en gegevens;
    • De genomen of voorgestelde maatregelen.

5.2. Informeren van betrokkenen

  • Betrokkenen worden geïnformeerd indien het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden.
  • De communicatie omvat:
    • Een duidelijke beschrijving van het incident;
    • Mogelijke gevolgen;
    • Aanbevolen maatregelen voor betrokkenen.
  1. Documentatie
    Alle datalekken, ongeacht de meldingsplicht, worden gedocumenteerd. Deze documentatie bevat:
  • Een gedetailleerde beschrijving van het incident;
  • De beoordeling van risico’s;
  • De genomen maatregelen;
  • Eventuele meldingen aan de AP en/of betrokkenen.
  1. Evaluatie en preventie
    Na elk datalek wordt een evaluatie uitgevoerd om:
  • De oorzaak vast te stellen;
  • Processen en beveiligingsmaatregelen te verbeteren;
  • Herhaling te voorkomen.
  1. Verantwoordelijkheden
  • De FG of verantwoordelijke voor gegevensbescherming coördineert alle acties in het kader van dit protocol.
  • Alle medewerkers zijn verplicht incidenten direct te melden en mee te werken aan het onderzoek.
  1. Training en bewustwording Regelmatige training en bewustwordingscampagnes worden georganiseerd om medewerkers te informeren over:
  • Het herkennen en melden van datalekken;
  • Het belang van gegevensbescherming.
  1. Contactinformatie
    Voor meldingen of vragen met betrekking tot datalekken kunt u contact opnemen met:

Orphyum.nl
info@orphyum.nl
+31 (0)6 12345678
Straatnaam 123, 1234 AB, Plaatsnaam
KvK-nummer: 12345678
BTW-nummer: NL123456789B01

Dit datalekprotocol is voor het laatst bijgewerkt op 01-01-2025.